В течение двух дней в середине января некоторые жители города Львов в Украине были вынуждены обходиться без центрального отопления и столкнуться с морозными температурами из-за кибератаки на муниципальную энергетическую компанию, как пришли к заключению исследователи по безопасности и украинские власти.
Во вторник кибербезопасностная компания Dragos опубликовала отчет с деталями о новом вредоносном ПО под названием FrostyGoop, которое, по мнению компании, разработано для атаки на промышленные системы управления - в данном случае, специально на контроллер системы отопления.
Исследователи Dragos написали в своем отчете, что они впервые обнаружили вредоносное ПО в апреле. На тот момент у Dragos не было больше информации о FrostyGoop, кроме образца вредоносного ПО, и они считали, что оно использовалось только для тестирования. Однако позже украинские власти предупредили Dragos, что у них есть доказательства того, что вредоносное ПО активно использовалось в кибератаке в Львове с позднего вечера 22 января по 23 января.
"Это привело к отключению отопления в более чем 600 жилых домах на почти 48 часов", - сказал Марк «Сорока» Грэм, исследователь из Dragos, во время звонка с журналистами, которые были проинформированы о отчете перед его публикацией.
Представитель Совета безопасности Украины сообщил TechCrunch по электронной почте, что "был замешан в мерах по реагированию" после атаки.
"В результате следствия кибератака быстро были нейтрализованы, и услуги были восстановлены", - сказал представитель в электронном письме, которое было машинно переведено, поскольку было написано на украинском языке. Представитель подтвердил, что атака произошла в январе 2024 года и затронула "более 600 домов в городе". Представитель также сказал, что хакеры атаковали "информационно-коммуникационную инфраструктуру ЛьвовТеплоЭнерго", крупного поставщика тепла и горячей воды.
Исследователи из Dragos Грэм, Кайл О'Мира и Кэролин Олерс написали в отчете, что "ликвидация инцидента заняла почти двое суток, в течение которых гражданское население пришлось переносить субнулевые температуры".
Это третье известное отключение, связанное с кибератаками, которое случилось с украинцами за последние несколько лет. Исследователи сказали, что вредоносное ПО не вероятно вызовет масштабных отключений, но это показывает увеличенные усилия злонамеренных хакеров в целях атаки на критическую инфраструктуру, такую как энергетические сети.
Вредоносное ПО FrostyGoop предназначено для взаимодействия с промышленными устройствами управления (ICS) по протоколу Modbus, который многие десятилетия широко используется по всему миру для управления устройствами в промышленных средах, что означает, что FrostyGoop может быть использован для атаки на другие компании и объекты в любом месте, согласно Dragos.
"Сейчас по крайней мере 46 000 устройств ICS, доступных в Интернете, позволяют работать с Modbus", - сказал Грэм журналистам.
Dragos заявили, что FrostyGoop - девятый специфический для ICS вредоносный программный продукт, с которым они столкнулись за годы своей деятельности. Самые известные из них: Индустрия (также известный как CrashOverride), который использовался зловредным российским государственным хакерским группировкой Sandworm для отключения света в Киеве и, позже, для отключения электрических подстанций в Украине. За пределами этих кибератак, направленных против Украины, Dragos также видел Тритон, который использовался против саудовского нефтеперерабатывающего завода и против неизвестного второго объекта впоследствии; и вредоносное ПО CosmicEnergy, которое было обнаружено компанией Mandiant в прошлом году.
